De Shamoon a StoneDrill: aparece un nuevo malware destructivo

En 2012, el wiper Shamoon infectó más de 35.000 ordenadores poniendo en peligro el 10% del suministro mundial de petróleo. StoneDrill se ha detectado en Europa tras haber atacado en Oriente Medio.
El equipo de análisis e investigación de Kaspersky Lab ha logrado identificar un nuevo malware wiper llamado StoneDrill. Igual que Shamoon, otro wiper anterior, destruye todo lo que se encuentra en el equipo infectado, StoneDrill dispone de avanzadas técnicas anti detección y espionaje. Además de sus objetivos en Oriente Medio, StoneDrill ha sido identificado en Europa, donde los wipers todavía no habían hecho acto de aparición. En 2012, el wiper Shamoon (conocido también como Disttrack) se hizo famoso tumbando cerca de 35.000 computadoras de una compañía petrolífera de Oriente Medio.
El ataque fue devastador y puso en peligro cerca del 10% del suministro mundial de petróleo. Sin embargo, el incidente sólo ocurrió una vez. A finales del pasado 2016, se ha detectado una campaña mucho más extensa que utiliza una versión actualizada del malware de 2012, Shamoon 2.0.
Cuando estaban analizando estos ataques, los analistas de Kaspersky Lab encontraron otro malware parecido al Shamoon 2.0, pero al mismo tiempo era muy diferente y más sofisticado, al que han dado el nombre de StoneDrill.

StoneDrill – un wiper con conexiones

No se sabe cómo se propaga StoneDrill, pero una vez en el quipo atacado se aloja en el proceso de memoria del buscador preferido del usuario. StoneDrill utiliza dos técnicas sofisticadas anti emulación dirigidas a despistar a las soluciones de seguridad instaladas en la máquina de la víctima, procediendo a destruir los archivos de los discos del equipo. Hasta ahora se han identificado dos objetivos del wiper StoneDrill, uno en Oriente Medio y otro en Europa.
Junto al módulo de borrado, los analistas de Kaspersky Lab han encontrado un backdoor del StoneDrill, que aparentemente ha sido desarrollado por los mismos programadores y que se utiliza para espiar. Los expertos han descubierto cuatro paneles de comando y control utilizados por los atacantes para realizar operaciones de espionaje con la ayuda del backdoor contra un número desconocido de objetivos.
Quizás, lo más interesante de StoneDrill es que parece tener conexiones con otros wipers y operaciones de espionaje que se han visto anteriormente. Cuando los analistas de Kaspersky Lab descubrieron StoneDrill, gracias a la ayuda de las reglas Yara creadas para identificar muestras desconocidas de Shamoon, se dieron cuenta de que estaban ante un elemento malicioso que parecía haber sido creado sin relación con Shamoon. Y aunque ambas familias, Shamoon y StoneDrill no comparten el mismo código base, el estilo de programación y el objetivo de los autores son muy similares. Esto es lo que ha facilitado la identificación de StoneDrill gracias a las reglas Yara.
También se ha podido observar semejanzas con otros malware anteriores, pero en esta ocasión no entre Shamoon y StoneDrill. De hecho, StoneDrill utilizaba algunos fragmentos del código encontrado en NewsBeef APT, también conocido como Charming Kitten (simpático gatito), otra campaña maliciosa muy activa en los últimos años.